• Снижение нагрузки на процессорные ресурсы при использовании хелпера Kerberos-аутентификации (negotiate_kerberos_auth) для прокси-сервера Squid 3

    imageПри начале эксплуатации обновлённой версии Squid можно, как и в прошлый раз, столкнуться с проблемой высокой утилизации процессорных ресурсов прокси-сервера, вызванной процессами хелпера Kerberos-аутентификации - negotiate_kerberos_auth. При изучении данной проблемы, с удивлением для себя обнаружил, что её решение всё это время было у меня в буквальном смысле слова “под носом”.

    Читать далее...

  • Обновляем Squid 3.3.8 до версии 3.5.3 из исходных файлов на Ubuntu Server 14.04.2 LTS

    imageВ этой заметке будет рассмотрена процедура обновления Squid 3.3.8 до последней стабильной версии 3.5.3, которая будет несколько отличаться от описанной ранее процедуры, за счёт того, что в последней версии возникает дополнительная потребность обновления библиотек libecap. Обновление будет выполняться на сервере c Ubuntu Server 14.04.2 LTS с уже установленным и работающим Squid 3.3.8. Поехали… Читать далее...

  • Медленная работа Internet Explorer 11 через прокси-сервер Squid с использованием Proxy Auto Configuration (WPAD)

    imageПосле перехода с Forefront TMG на Squid мне не давала покоя одна проблема, разобраться с которой “с наскоку” никак не получалось. При использовании браузера Internet Explorer 11 в связке с прокси-сервером Squid наблюдались задержки при открытии веб-страниц Интернет-ресурсов, и особенно это было ощутимо на https-ресурсах. При этом те же самые веб-страницы открывались в других браузерах без подобных проблем. Так уж получилось, что изначально изучение этой проблемы пошло в неверном направлении и было ориентировано на связку IE11/HTTPS/Squid. Попытка разобрать трафик между клиентом IE11 и прокси-сервером Squid не дала ничего интересного. В ходе поиска возможной причины использовались всевозможные варианты начиная с таких, как например изменение client_persistent_connections в конфигурационном файле Squid и заканчивая такими глупостями, как например, отключение SPDY/3 и HTTP 1.1 в IE11 или даже использование режима предприятия. По пути наткнулся на довольно занятную статью об IE на “Хабре”. В общем перебор возможных вариантов решения дошёл до экспериментов с авто-конфигурацией прокси, где тоже появились интересные подробности. В частности выяснилось, что IE может давать ощутимые задержки в открытии страниц, если в файле автоконфигурации прокси (WPAD) присутствует вызов функций вида isInNet(host,,).

    Читать далее...

  • Обновляем Squid 3.3.8 до версии 3.4.8 из исходных файлов на Ubuntu Server 14.04.1 LTS

    imageРанее мы рассматривали процедуру пересборки пакета Squid 3.3 из исходных файлов для отключения поддержки IPv6. Желание внедрить собственную систему сборки логов Squid подталкивает нас на новую задачу – обновление используемого пакета Squid 3.3.8 до последней стабильной версии 3.4.8, доступной на официальном сайте. Делать это будем на сервере c Ubuntu Server 14.04.1 LTS с уже установленным и работающим Squid 3.3.8. Читать далее...

  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 10. Отключаем IPv6

    imageВ интернете можно встретить ряд свидетельств того, что при включенной по умолчанию в Squid3 поддержке IPv6 и при этом ненастроенных и неиспользуемых интерфейсах IPv6 можно столкнуться с разнообразными проблемами. В этой заметке мы рассмотрим то, как можно отключить на Ubuntu Server 14.04 LTS поддержку IPv6, а также выполним пересборку пакета Squid3, чтобы отбить у Squid желание использовать IPv6.

    Читать далее...

  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 9. Конфигурация LightSquid

    imageВ этой части мы рассмотрим инструмент разбора логов Squid3 и построения отчетов о пользовательской активности в Интернет – LightSquid 1.8. LightSquid по сути своей является набором Perl-скриптов, выполняющих анализ лог-файлов access.log* и способных на основе данных этого анализа строить HTML-отчёты. Выбор именно этого инструмента был сделан после ряда сравнительных экспериментов в контексте сопоставления функциональности с другими программами выполняющими аналогичные задачи.

    Немного предыстории. Поначалу я было уцепился за SARG, так как по истории выхода версий было предположено, что этот продукт развивается активней своих аналогов. Однако после его настройки и нескольких дней использования стали очевидны его недостатки, главным из которых оказался размер генерируемых отчетов даже при самых скромных настройках конфигурации. Размер ежедневного отчета сливаемого SARG на диск при количестве ~800 пользователей (не одновременно работающих, а в целом за день) составлял 1,2 – 1,5GB. Стало понятно, что если выпустить всех пользователей через Squid и рассчитывать при этом на хранение отчётов минимум за 3 месяца потребуется приличная дисковая ёмкость. LightSquid оказался в этом плане многократно скромнее при почти той-же функциональности отчетов, да ещё и выгодно отличился скоростью обработки access-лога.

    Читать далее...

  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 8. Конфигурация SqStat

    imageПри переводе пользователей на прокси-сервер Squid3 хотелось бы видеть информацию о количестве работающих через прокси пользователей на данный конкретный момент времени. Для этого есть ряд инструментов, один из которых мы рассмотрим в данной заметке. Речь пойдёт о скрипте SqStat, позволяющем в режиме реального времени просматривать активные сессии пользователей прокси через веб-интерфейс.

    На данный момент последняя доступная версия скрипта SqStat 1.20 может быть загружена с адреса samm.kiev.ua – sqstat. В одной из прошлых заметок нами был установлен web-сервер Apache2 с модулем php5, который здесь-то нам и пригодится.

    Читать далее...

  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 7. Кастомизация страниц ошибок

    imageПосле того как мы начнём в боевом режиме использовать прокси-сервер Squid3, возможно одна из первых вещей, которые захочется сделать – это кастомизация веб-страниц, возвращаемых прокси-сервером при разного рода ошибках доступа к запрашиваемым веб-ресурсам. В целом дизайн страниц ошибок в конфигурации по умолчанию в Squid3 на мой взгляд намного приятней, чем в том же Squid2 и поэтому, по большому счету, необходимости в какой-то сильной кастомизации нет. И самое простое здесь, что мы можем сделать, для того чтобы как-то приблизить этот дизайн к корпоративному – заменить логотип Squid, используемый на всех таких страницах на эмблему компании. Давайте рассмотрим эту нехитрую процедуру.

    Читать далее...

  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 6. Настройка Proxy Auto Configuration (WPAD)

    imageИмея уже сконфигурированный и работающий сервер Squid3 у нас встаёт вопрос об автоматической настройке клиентов локальной сети на использование этого прокси-сервера. Сразу перенаправлять всех клиентов на только что запущенный прокси-сервер не совсем правильно, и поэтому нам сначала потребуется выполнить предварительное тестирование на отдельной группе клиентов, а уже по результатам этого тестирования выполнить плавный перевод всех оставшихся клиентов со старого прокси-сервера на базе Forefront TMG на новый на базе Squid3. Правила того, каких клиентов на какой прокси-сервер направлять мы настроим в файле wpad.dat используемом браузерами и другими приложениями на клиентских компьютерах в рамках технологии Web Proxy Automatic Discovery (WPAD). А так как файл wpad.dat нужно сделать для всех клиентов локальной сети доступным по протоколу HTTP без аутентификации, развернём для этой цели на нашем Linux-сервере веб-сервер Apache2.

    Читать далее...

  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 5. Конфигурация Squid 3

    imageВ этой части мы рассмотрим ряд подготовительных манипуляций по созданию доменных групп безопасности, которые будут использоваться для ограничения доступа к Интернет, а также созданию вспомогательных файлов, ссылки на которые будут включены в основной конфигурационный файл Squid 3.3.8. Затем отредактируем основной конфигурационный файл Squid и проверим работу нашего прокси-сервера с новыми настройками.

    Читать далее...